Вопросы и ответы о Виртуальной глобальной сети
Является ли виртуальная Глобальная сеть Azure общедоступной?
Да, Виртуальная глобальная сеть Azure является общедоступной. При этом для Виртуальной глобальной сети предусмотрено несколько функций и сценариев. Существуют функции или сценарии в Виртуальная глобальная сеть, где корпорация Майкрософт применяет тег предварительной версии. Это значит, что такая функция или сценарий предоставляются в предварительной версии. Если вы не используете определенную предварительную версию функции, предоставляется поддержка общедоступной версии. См. статью Дополнительные условия использования Предварительных версий Microsoft Azure.
Какие расположения и регионы доступны?
Дополнительные сведения см. в разделе Доступные расположения и регионы.
Обязан ли пользователь применять звездообразную архитектуру для устройств SD-WAN/VPN, чтобы использовать Виртуальную глобальную сеть Azure?
Виртуальная глобальная сеть предоставляет множество функций, собранных на унифицированной панели управления, в том числе VPN-подключение "сеть — сеть", подключение пользователей через VPN "точка — сеть" (P2S), подключение через ExpressRoute, подключение к виртуальной сети, взаимодействие через VPN ExpressRoute, транзитивное подключение между виртуальными сетями, централизованная маршрутизация, средства защиты Брандмауэра Azure и Диспетчера брандмауэра, мониторинг, шифрование ExpressRoute и многие другие возможности. Чтобы начать работу с Виртуальной глобальной сетью, не обязательно иметь все эти возможности для применения. Для начала достаточно одного любого варианта использования.
Виртуальная глобальная сеть использует звездообразную архитектуру и встроенные возможности масштабирования и контроля за производительностью. Согласно этой архитектуре ветви (устройства SD-WAN/VPN), пользователи (клиенты Azure VPN, OpenVPN или IKEv2), каналы ExpressRoute и виртуальные сети являются периферийными относительно виртуальных концентраторов. Все эти концентраторы соединяются в Виртуальную глобальную сеть уровня "Стандартный" по схеме "каждый с каждым", что позволяет легко использовать магистральную платформу Майкрософт для организации взаимодействия периферийных устройств в любых сочетаниях. Для концентраторов и периферийных устройств SD-WAN и (или) VPN пользователи могут вручную настроить подключение к Azure на портале Виртуальной глобальной сети Azure или применить виртуальное оборудование партнера Виртуальной глобальной сети (SD-WAN/VPN).
Партнерские решения для Виртуальной глобальной сети позволяют автоматизировать подключения, чтобы экспортировать в Azure сведения об устройстве, скачивать конфигурации Azure и подключаться к концентратору Виртуальной глобальной сети Azure. Для VPN-подключений "точка — сеть" (подключения пользователей) мы поддерживаем клиенты Azure VPN, OpenVPN и IKEv2.
Можете ли вы отключить полносвязные концентраторы в Виртуальной глобальной сети?
Виртуальная глобальная сеть поставляется в двух вкусах: "Базовый" и "Стандартный". В Виртуальной глобальной сети уровня "Базовый" концентраторы не объединяются. В Виртуальной глобальной сети уровня "Стандартный" концентраторы объединяются и автоматически подключаются при первой настройке Глобальной сети. Пользователю ничего конкретного делать не нужно. Пользователю также не нужно отключать или включать функции для получения объединенных концентраторов. Виртуальная глобальная сеть предоставляет множество вариантов маршрутизации для передачи трафика между любой периферийной сетью (виртуальной сетью, VPN или ExpressRoute). Это обеспечивает простоту полносвязных концентраторов, а также гибкость маршрутизации трафика в соответствии с вашими потребностями.
Как обрабатываются Зоны доступности и устойчивости в Виртуальной глобальной сети?
Виртуальная глобальная сеть представляет собой набор концентраторов и служб, доступных внутри концентратора. У пользователя может быть необходимое ему количество Виртуальных глобальных сетей. В центре Виртуальной глобальной сети доступно несколько служб, таких как VPN, ExpressRoute и т. д. Каждая из этих служб автоматически развертывается в Зоны доступности (за исключением Брандмауэра Azure), если регион поддерживает Зоны доступности. Если регион становится Зоной доступности после первоначального развертывания в концентраторе, пользователь может воссоздать шлюзы, что приведет к развертыванию Зоны доступности. Все шлюзы подготавливаются в концентраторе как активные и активные, что означает, что в концентраторе есть устойчивость. Если пользователям нужна устойчивость в разных регионах, они могут подключаться к нескольким концентраторам.
В настоящее время Брандмауэр Azure можно развернуть для поддержки Зон доступности с помощью портала диспетчера Брандмауэра Azure, PowerShell или CLI. В настоящее время невозможно настроить существующий брандмауэр для развертывания в зонах доступности. Вам потребуется удалить и повторно развернуть Брандмауэр Azure.
Хотя концепция Виртуальной глобальной сети является глобальной, фактический ресурс этой сети основан на Resource Manager и развернут в регионе. Если проблемы возникнут в самом регионе Виртуальной глобальной сети, все концентраторы в этой сети будут продолжать функционировать без изменений, но пользователь не сможет создавать концентраторы до тех пор, пока регион Виртуальной глобальной сети не станет доступен.
Можно ли совместно использовать брандмауэр в защищенном концентраторе с другими центрами?
Нет, каждый виртуальный концентратор Azure должен иметь собственный брандмауэр. Развертывание пользовательских маршрутов для указания брандмауэра другого защищенного концентратора завершится ошибкой и не завершится успешно. Рекомендуется преобразовать эти центры в защищенные центры с помощью собственных брандмауэров.
Какие клиенты поддерживаются для VPN-подключения "точка — сеть" (подключения пользователей) в Виртуальной глобальной сети Azure?
Виртуальная глобальная сеть поддерживает клиенты Azure VPN, OpenVPN и любые клиенты IKEv2. Проверка подлинности Microsoft Entra поддерживается с VPN-клиентом Azure. Требуется минимальная версия ОС клиента Windows 10 версии 17763.0 или более поздней. Клиенты OpenVPN могут поддерживать проверку подлинности на основе сертификатов. Как только на шлюзе будет выбрана аутентификация на основе сертификата, вы увидите файл с расширением .ovpn* для скачивания на устройство. IKEv2 поддерживает как проверку подлинности на основе сертификата, так и проверку подлинности RADIUS.
Почему для VPN-подключения пользователя ("точка — сеть") пул клиентов P2S делится на два маршрута?
Каждый шлюз имеет два экземпляра. Разделение происходит таким образом, чтобы каждый экземпляр шлюза мог независимо распределять IP-адреса клиентов для подключенных клиентов и трафик из виртуальной сети направляется обратно в правильный экземпляр шлюза, чтобы избежать прыжка между шлюзом.
Как можно добавить DNS-серверы для клиентов P2S?
У вас есть два варианта добавления DNS-серверов для клиентов P2S. Первый вариант является предпочтительным, так как он подразумевает добавление настраиваемых DNS-серверов к шлюзу вместо клиента.
Используйте следующий скрипт PowerShell для добавления пользовательских DNS-серверов. Замените значения для своей среды.
// Define variables $rgName = "testRG1" $virtualHubName = "virtualHub1" $P2SvpnGatewayName = "testP2SVpnGateway1" $vpnClientAddressSpaces = $vpnServerConfiguration1Name = "vpnServerConfig1" $vpnClientAddressSpaces = New-Object string[] 2 $vpnClientAddressSpaces[0] = "192.168.2.0/24" $vpnClientAddressSpaces[1] = "192.168.3.0/24" $customDnsServers = New-Object string[] 2 $customDnsServers[0] = "7.7.7.7" $customDnsServers[1] = "8.8.8.8" $virtualHub = $virtualHub = Get-AzVirtualHub -ResourceGroupName $rgName -Name $virtualHubName $vpnServerConfig1 = Get-AzVpnServerConfiguration -ResourceGroupName $rgName -Name $vpnServerConfiguration1Name // Specify custom dns servers for P2SVpnGateway VirtualHub while creating gateway createdP2SVpnGateway = New-AzP2sVpnGateway -ResourceGroupName $rgname -Name $P2SvpnGatewayName -VirtualHub $virtualHub -VpnGatewayScaleUnit 1 -VpnClientAddressPool $vpnClientAddressSpaces -VpnServerConfiguration $vpnServerConfig1 -CustomDnsServer $customDnsServers // Specify custom dns servers for P2SVpnGateway VirtualHub while updating existing gateway $P2SVpnGateway = Get-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName $updatedP2SVpnGateway = Update-AzP2sVpnGateway -ResourceGroupName $rgName -Name $P2SvpnGatewayName -CustomDnsServer $customDnsServers // Re-generate Vpn profile either from PS/Portal for Vpn clients to have the specified dns serversА если вы используете клиент Azure VPN для Windows 10, вы можете изменить скачанный XML-файл профиля и добавить теги <dnsservers><dnsserver></dnsserver></dnsservers>, прежде чем импортировать его.
<azvpnprofile> <clientconfig> <dnsservers> <dnsserver>x.x.x.x</dnsserver> <dnsserver>y.y.y.y</dnsserver> </dnsservers> </clientconfig> </azvpnprofile>
Сколько клиентов поддерживается для пользовательского VPN-подключения ("точка — сеть")?
В приведенной ниже таблице описывается количество одновременных подключений и агрегированная пропускная способность VPN-шлюза "точка — сеть", поддерживаемого в разных единицах масштабирования.
| Единица масштабирования | Экземпляры шлюза | Поддерживаемое число одновременных подключений | Суммарная пропускная способность |
|---|---|---|---|
| 1 | 2 | 500 | 0,5 Гбит/с |
| 2 | 2 | 500 | 1 Гбит/с |
| 3 | 2 | 500 | 1,5 Гбит/с |
| 4 | 2 | 1000 | 2 Гбит/с |
| 5 | 2 | 1000 | 2,5 Гбит/с |
| 6 | 2 | 1000 | 3 Гбит/с |
| 7 | 2 | 5000 | 3,5 Гбит/с |
| 8 | 2 | 5000 | 4 Гбит/с |
| 9 | 2 | 5000 | 4,5 Гбит/с |
| 10 | 2 | 5000 | 5 Гбит/с |
| 11 | 2 | 10000 | 5,5 Гбит/с |
| 12 | 2 | 10000 | 6 Гбит/с |
| 13 | 2 | 10000 | 6,5 Гбит/с |
| 14 | 2 | 10000 | 7 Гбит/с |
| 15 | 2 | 10000 | 7,5 Гбит/с |
| 16 | 2 | 10000 | 8 Гбит/с |
| 17 | 2 | 10000 | 8,5 Гбит/с |
| 18 | 2 | 10000 | 9 Гбит/с |
| 19 | 2 | 10000 | 9,5 Гбит/с |
| 20 | 2 | 10000 | 10 Гбит/с |
| 40 | 4 | 20000 | 20 Гбит/с |
| 60 | 6 | 30 000 | 30 Гбит/с |
| 80 | 8 | 40000 | 40 Гбит/с |
| 100 | 10 | 50000 | 50 Гбит/с |
| 120 | 12 | 60 000 | 60 Гбит/с |
| 140 | 14 | 70 000 | 70 Гбит/с |
| 160 | 16 | 80 000 | 80 Гбит/с |
| 180 | 18 | 90000 | 90 Гбит/с |
| 200 | 20 | 100000 | 100 Гбит/с |
Для примера предположим, что пользователь выбрал единицу масштабирования 1. Каждая единица масштабирования подразумевает развертывание шлюза в режиме "активный — активный" с экземплярами (в нашем примере их 2), каждый из которых поддерживает до 500 подключений. Так как вы можете получить 500 подключений * 2 на шлюз, это не означает, что вы планируете 1000 вместо 500 для этой единицы масштаба. Возможно, потребуется обслуживать экземпляры, в течение которых подключение для дополнительного 500 может быть прервано при превышении рекомендуемого количества подключений.
Для шлюзов с единицами масштабирования, превышающими 20, развертываются дополнительные пары экземпляров шлюза с высоким уровнем доступности, чтобы обеспечить дополнительную емкость для подключения пользователей. Каждая пара экземпляров поддерживает до 10 000 дополнительных пользователей. Например, при развертывании шлюза со 100 единицами масштабирования развертываются 5 пар шлюзов (всего 10 экземпляров) и одновременно могут подключаться до 50 000 пользователей (10 000 пользователей x 5 пар шлюзов).
Кроме того, обязательно спланируйте время простоя на случай, если решите изменить масштаб на основе единицы масштабирования или изменить конфигурацию подключения "точка — сайт" в VPN-шлюзе.
Что такое устройства масштабирования виртуального шлюза Виртуальной глобальной сети?
Единица масштабирования — это единица, определенная для выбора совокупной пропускной способности шлюза в виртуальном концентраторе. 1 единица масштабирования VPN = 500 Мбит/с. 1 единица масштабирования ExpressRoute = 2 Гбит/с. Пример 10 единиц масштабирования VPN — 500 Мбит/с * 10 = 5 Гбит/с.
Чем шлюз виртуальной сети Azure (VPN-шлюз) отличается от VPN-шлюза Виртуальной глобальной сети Azure?
Виртуальная глобальная сеть обеспечивает крупномасштабное подключение типа "сайт — сайт" и разрабатывается для пропускной способности, масштабируемости и легкости использования. При подключении сайта к VPN-шлюзу Виртуальной глобальной сети используется VPN-шлюз, а не обычный шлюз виртуальной сети с VPN-подключением "сеть — сеть". Если вы хотите подключить удаленных пользователей к Виртуальной глобальной сети, используйте VPN-шлюз типа "точка — сеть". VPN-шлюзы типа "точка — сеть" и "сеть — сеть" являются отдельными сущностями в концентраторе Виртуальной глобальной сети и должны развертываться отдельно. Аналогично, при подключении канала ExpressRoute к концентратору Виртуальной глобальной сети используется другой ресурс для шлюза ExpressRoute, отличающийся от типа ExpressRoute, который используется для стандартного шлюза виртуальной сети.
Виртуальная глобальная сеть поддерживает для VPN и ExpressRoute агрегированную пропускную способность до 20 Гбит/с. Виртуальная глобальная сеть также использует автоматизацию для подключения к экосистеме партнеров по периферийным устройствам CPE. Для периферийных устройств CPE используется встроенная автоматическая подготовка и подключение к Виртуальной глобальной сети Azure. Эти устройства доступны в растущей экосистеме SD-WAN и у партнеров VPN. Дополнительные сведения см. в списке предпочитаемых партнеров.
Чем Виртуальная глобальная сеть отличается от шлюза виртуальной сети Azure?
VPN-шлюз виртуальной сети ограничен 100 туннелями. Для подключения следует использовать Виртуальную глобальную сеть Azure для крупномасштабной VPN. Допускается до 1000 периферийных подключений на каждый виртуальный концентратор с общей пропускной способностью 20 Гбит/с на концентратор. Соединение — это туннель "активный — активный" от локального VPN-устройства к виртуальному концентратору. Кроме того, в каждом регионе Azure может быть несколько виртуальных концентраторов. Это значит, что можно подключить больше 1000 ветвей к одному региону Azure, развернув несколько концентраторов глобальных виртуальных сетей в данном регионе, на каждом из которых будет реализован собственный VPN-шлюз типа "сеть — сеть".
Каков рекомендуемый алгоритм и число пакетов в секунду на экземпляр подключения "сайт — сайт" в концентраторе Виртуальной глобальной сети? Сколько туннелей поддерживается на экземпляр? Какова максимальная пропускная способность, поддерживаемая в одном туннеле?
Виртуальная глобальная сеть поддерживает два активных экземпляра VPN-шлюза типа "сеть — сеть" в виртуальном концентраторе. Это означает, что в виртуальном центре есть набор из двух экземпляров VPN-шлюзов типа "активный-активный". Во время операций обслуживания каждый экземпляр обновляется по одному из-за того, что пользователь может столкнуться с кратким снижением статистической пропускной способности VPN-шлюза.
Хотя VPN Виртуальной глобальной сети поддерживает множество алгоритмов, чтобы обеспечить оптимальную производительность, мы рекомендуем GCMAES256 для шифрования IPSEC и обеспечения целостности. AES256 и SHA256 считаются менее производительными, поэтому с аналогичными алгоритмами может отмечаться ухудшение производительности, например увеличение задержки и пропуски пакетов.
Количество пакетов в секунду (PPS) — это коэффициент общего количества пакетов и пропускной способности, поддерживаемой для каждого экземпляра. Лучше всего это показать на примере. Предположим, что экземпляр VPN-шлюза "сайт — сайт" с 1 единицей масштабирования и скоростью 500 Мбит/с развертывается в центре виртуальной глобальной сети. Предполагая размер пакета 1400, ожидается, что для этого экземпляра VPN-шлюза имеет максимальный размер = [(500 Мбит/с * 1024 * 1024) /8/1400] ~ 47000.
С Виртуальной глобальной сетью используются такие понятия, как VPN-подключения, подключения каналов и туннели. Одно VPN-подключение состоит из подключений каналов. Виртуальная глобальная сеть поддерживает до 4 подключений каналов в одном VPN-подключении. Каждое подключение канала включает два туннеля IPsec, которые завершаются двумя экземплярами VPN-шлюза "активный — активный", развернутыми в виртуальном центре. Общее число туннелей, которые могут быть завершены в одном активном экземпляре, равно 1000. Это также означает, что пропускная способность для 1 экземпляра будет доступна в агрегированном виде для всех туннелей, подключающихся к такому экземпляру. Каждый туннель также имеет свои значения пропускной способности. В случаях, когда несколько туннелей подключены к шлюзу единицы масштабирования с более низким значением, лучше оценить потребность по каждому туннелю и спланировать VPN-шлюз, который представляет собой агрегированное значение пропускной способности всех туннелей, которые завершаются в экземпляре VPN.
Значения для различных единиц масштабирования, поддерживаемых в Виртуальная глобальная сеть
| Единица масштабирования | Максимальная пропускная способность на туннель (Мбит/с) | Максимальное количество PPS на туннель | Максимальная пропускная способность для каждого экземпляра (Мбит/с) | Максимальное количество PPS на экземпляр |
|---|---|---|---|---|
| 1 | 500 | 47 тыс. | 500 | 47 тыс. |
| 2 | 1000 | 94 тыс. | 1000 | 94 тыс. |
| 3 | 1500 | 140 тыс. | 1500 | 140 тыс. |
| 4 | 1500 | 140 тыс. | 2000 | 187K |
| 5 | 1500 | 140 тыс. | 2500 | 234K |
| 6 | 1500 | 140 тыс. | 3000 | 281K |
| 7 | 2300 | 215K | 3500 | 328 тыс. |
| 8 | 2300 | 215K | 4000 | 374K |
| 9 | 2300 | 215K | 4500 | 421 тыс. |
| 10 | 2300 | 215K | 5000 | 468K |
| 11 | 2300 | 215K | 5500 | 515K |
| 12 | 2300 | 215K | 6000 | 562K |
| 13 | 2300 | 215K | 6500 | 609K |
| 14 | 2300 | 215K | 7000 | 655K |
| 15 | 2300 | 215K | 7500 | 702K |
| 16 | 2300 | 215K | 8000 | 749K |
| 17 | 2300 | 215K | 8500 | 796K |
| 18 | 2300 | 215K | 9000 | 843K |
| 19 | 2300 | 215K | 9500 | 889K |
| 20 | 2300 | 215K | 10000 | 936K |
Примечание.
Все числа основаны на алгоритме GCM.
Какие поддерживаются поставщики устройств (партнеры Виртуальной глобальной сети)?
Сейчас множество партнеров полностью поддерживают автоматизированную Виртуальную глобальную сеть. Дополнительные сведения о виртуальных машинах см. в разделе Virtual WAN Preview (Виртуальная глобальная сеть (предварительный просмотр)).
Какие действия следует выполнить партнерам для автоматизации Виртуальной глобальной сети?
Инструкции см. в статье Участники Виртуальной глобальной сети (предварительная версия).
Нужно ли использовать основное устройство партнера?
№ Вы можете использовать любое VPN-устройство, отвечающее требованиям Azure для поддержки IKEv2/IKEv1 IPsec. Виртуальная глобальная сеть также имеет партнерские решения CPE, которые автоматизируют подключение к Виртуальной глобальной сети Azure, упрощая настройку VPN-подключений IPsec в большом масштабе.
Как партнеры Виртуальной глобальной сети автоматизируют подключение с помощью Виртуальной глобальной сети Azure?
Программно-определяемые решения обычно управляют своими филиалами устройств с помощью контроллера или центра обеспечения устройства. Контроллер может использовать API интерфейсы Azure для автоматизации подключения к Виртуальной глобальной сети Azure. Функция автоматизации поддерживает отправку сведений о ветви, скачивание конфигурации Azure, настройку туннелей IPSec на виртуальных концентраторах Azure и настройку подключения от периферийного устройства к Виртуальной глобальной сети Azure. Если у вас есть сотни ветвей, подключение через партнеров CPE Виртуальной глобальной сети будет очень простым, так как соответствующий интерфейс избавит вас от проблем с установкой, настройкой и администрированием большого количества подключений IPsec. Дополнительные сведения о виртуальных машинах см. в разделе Configure Virtual WAN automation - for Virtual WAN partners (Preview) (Настройка автоматизации виртуальной WAN для участников Virtual WAN (предварительный просмотр)).
Что, если используемое устройство отсутствует в списке партнеров Виртуальной глобальной сети? Можно ли по прежнему подключатся к VPN Виртуальной глобальной сети Azure?
Да, до тех пор, пока устройство поддерживает IPsec IKEv1 или IKEv2. Партнеры Виртуальной глобальной сети автоматизируют подключение из устройства к конечным точкам VPN Azure. Это подразумевает шаги по автоматизации, такие как "передача информации ветви", "IPsec и конфигурация" и "подключение". Так как ваше устройство не является частью партнерской экосистемы Виртуальной глобальной сети, вам потребуется вручную задать конфигурацию Azure, а также обновить свое устройство, чтоб настроить подключение IPsec.
Как подключить новых партнеров, которые не указаны в списке партнеров по запуску?
Все API Виртуальной глобальной сети являются OpenAPI. Вы можете ознакомиться с документацией в статье Рекомендации по автоматизации для партнеров виртуальной глобальной сети, чтобы оценить технические возможности. У идеального партнера есть устройство, которое можно использовать для подключения к IKEv1 или IKEv2 IPsec. После того как компания завершит работы по автоматизации своего устройства CPE на основе вышеприведенных рекомендаций, вы сможете обратиться по адресу azurevirtualwan@microsoft.com, чтобы указать устройство в разделе Подключение между партнерами. Если вы хотели бы, чтобы решение определенной компании было указано как решение партнера Виртуальной глобальной сети, попросите представителей компании связаться с партнерами этой сети, отправив электронное письмо по адресу azurevirtualwan@microsoft.com.
Как Виртуальная глобальная сеть поддерживает устройства SD-WAN?
Партнеры Виртуальной глобальной сети автоматизируют подключение IPsec к конечным точкам VPN Azure. Если партнером Виртуальной глобальной сети является поставщик SD-WAN, подразумевается, что контроллер SD-WAN управляет автоматизацией и подключением IPsec к конечным точкам VPN Azure. Если для устройства SD-WAN требуется собственная конечная точка вместо VPN Azure для любых собственных функций SD-WAN, можно развернуть конечную точку SD-WAN в виртуальной сети Azure и сосуществовать с Azure Виртуальная глобальная сеть.
поддерживается Виртуальная глобальная сетьПиринг BGP и также имеет возможность развертывать NVAs в виртуальном концентраторе глобальной сети.
Какое количество VPN-устройств можно подключить к одному концентратору?
Каждый виртуальный концентратор поддерживает до 1000 подключений. Каждое подключение состоит из четырех соединений, каждое из которых в свою очередь поддерживает два туннеля с конфигурацией "активный — активный". Туннели завершаются в VPN-шлюзе виртуального концентратора в Azure. Ссылки представляют собой физическую ссылку на поставщика услуг Интернета на устройстве ветви или VPN.
Что представляет собой подключение ветви к Виртуальной глобальной сети Azure?
Подключение из ветви или VPN-устройства к Виртуальной глобальной сети Azure — это VPN-подключение, с помощью которого сайт VPN и VPN-шлюз Azure виртуально подключаются в виртуальном концентраторе.
Что произойдет, если локальное VPN-устройство имеет только один туннель к VPN-шлюзу Виртуальной глобальной сети Azure?
Подключение к Виртуальной глобальной сети Azure использует два туннеля. VPN-шлюз Виртуальной глобальной сети развертывается в виртуальном концентраторе в режиме "активный — активный", который предусматривает отдельные туннели от локальных устройств, заканчивающиеся на отдельных экземплярах. Это рекомендация для всех пользователей. Однако если пользователь выбирает только один туннель к одному из экземпляров VPN-шлюза Виртуальная глобальная сеть, если по какой-либо причине (обслуживание, исправления и т. д.) экземпляр шлюза принимается в автономный режим, туннель будет перемещен в дополнительный активный экземпляр, и пользователь может повторно подключиться. Сеанс BGP нельзя переносить на другие экземпляры.
Что происходит во время сброса шлюза в ВИРТУАЛЬНАЯ ГЛОБАЛЬНАЯ СЕТЬ VPN-шлюзе?
Кнопка сброса шлюза используется, если локальные устройства работают должным образом, но VPN-подключения типа "сеть — сеть" в Azure находятся в отключенном состоянии. VPN-шлюзы Виртуальной глобальной сети всегда развертываются в состоянии "активный — активный" для обеспечения высокой доступности. Это означает, что в любой момент времени в VPN-шлюзе развернуто несколько экземпляров. При использовании кнопки сброса шлюза происходит последовательная перезагрузка экземпляров в VPN-шлюзе, поэтому работа подключений не прерывается. При переходе подключений с одного экземпляра на другой возникает небольшой простой, но он составляет меньше минуты. Кроме того, обратите внимание, что сброс шлюзов не приведет к изменению общедоступных IP-адресов.
Этот сценарий применяется только к подключениям S2S.
Можно ли подключить локальное VPN-устройство к нескольким концентраторам?
Да. Поток трафика при запуске направляется от локального устройства к ближайшему пограничному устройству Майкрософт, а затем — к виртуальному концентратору.
Существуют ли новые ресурсы диспетчера ресурсов для Виртуальной глобальной сети?
Да, Виртуальная глобальная сеть представляет новые ресурсы Resource Manager. Дополнительные сведения см. в статье Общие сведения о Службе контейнеров Azure.
Можно ли развернуть и использовать виртуальную (модуль) любимой сети (в виртуальной сети NVA) с помощью Azure Виртуальная глобальная сеть?
Да, вы можете подключить виртуальную сеть (модуль) (NVA) к Виртуальная глобальная сеть Azure.
Могу ли я создать сетевой виртуальный модуль в виртуальном концентраторе?
Виртуальный сетевой модуль (NVA) можно развернуть в виртуальном концентраторе. Инструкции см. в разделе "Сведения о NVAs" в центре Виртуальная глобальная сеть.
Можно ли разместить виртуальный сетевой шлюз в периферийной виртуальной сети?
№ Периферийная виртуальная сеть не может содержать шлюз, если она подключена к виртуальному концентратору.
Может ли виртуальная сеть с периферийной виртуальной сетью иметь сервер маршрутизации Azure?
№ В периферийной виртуальной сети не может быть сервер маршрутизации, если он подключен к концентратору виртуальной глобальной сети.
Поддерживается ли протокол BGP в VPN-подключении?
Да, протокол BGP поддерживается. При создании сайта VPN для него можно указать параметры BGP. Это означает, что все подключения, созданные в Azure для этого сайта, будут включены для BGP.
Есть ли сведения о лицензировании и ценообразовании для Виртуальной глобальной сети?
Да. Откройте страницу Цены.
Можно ли создать Виртуальную глобальную сеть Azure с помощью шаблона Resource Manager?
Вы можете создать простую конфигурацию из одной Виртуальной глобальной сети, одного концентратора и одного сайта VPN на основе шаблона быстрого запуска. Виртуальная глобальная сеть по сути представляет собой службу REST или службу, управляемую порталом.
Может ли в периферийной зоне виртуальных сетей, подключенных к виртуальному концентратору, происходить обмен данными (передача данных V2V)?
Да. Виртуальная глобальная сеть уровня "Стандартный" поддерживает транзитивное подключение между виртуальными сетями через концентратор Виртуальной глобальной сети, к которому они подключены. В терминологии Виртуальная глобальная сеть мы называем эти пути "локальным Виртуальная глобальная сеть транзитом виртуальной сети" для виртуальных сетей, подключенных к Виртуальная глобальная сеть концентратору в одном регионе, и "глобальным Виртуальная глобальная сеть Транзит виртуальной сети для виртуальных сетей, подключенных через несколько Виртуальная глобальная сеть концентраторов в двух или более регионах.
В некоторых сценариях виртуальные сети периферийных зон также можно напрямую объединить, используя пиринг между виртуальными сетями в дополнение к локальному или глобальному транзиту Виртуальной глобальной сети. В этом случае пиринг виртуальной сети имеет приоритет над транзитивным подключением через концентратор Виртуальной глобальной сети.
Разрешено ли в Виртуальной глобальной сети Azure подключение типа "ветвь — ветвь"?
Да, подключение типа "ветвь — ветвь" доступно в Виртуальной глобальной сети Azure. Ветвь концептуально применима к VPN-сайту, каналам ExpressRoute или пользователям, использующим VPN-подключение "точка — сеть". Подключение между ветвями включено по умолчанию и может быть найдено в параметрах конфигурации Виртуальной глобальной сети. Это позволяет ветвям и пользователям VPN подключаться к другим VPN-ветвям, а также использовать транзитное подключение между пользователями VPN и ExpressRoute.
Проходит ли трафик между ветвями через Виртуальную глобальную сеть Azure?
Да. Трафик между ветвями проходит через Виртуальную глобальную сеть Azure.
Требуется ли подключение ExpressRoute с каждого сайта для Виртуальной глобальной сети?
№ Виртуальной глобальной сети Azure не требуется ExpressRoute с каждого сайта. Ваши сайты могут быть подключены к сети поставщика с помощью канала ExpressRoute. Для сайтов, подключенных к виртуальному концентратору с помощью ExpressRoute и VPN IPsec в одном и том же концентраторе, виртуальный концентратор обеспечивает транзитное подключение между пользователем VPN и ExpressRoute.
Есть ли пропускная способность или предельное значение сети при использовании Виртуальной глобальной сети Azure?
Пропускная способность сети зависит от службы в концентраторе Виртуальной глобальной сети. В каждом концентраторе статистическая пропускная способность VPN составляет до 20 Гбит/с, агрегатная пропускная способность ExpressRoute составляет до 20 Гбит/с, а пропускная способность VPN-подключения "точка — сеть" составляет до 200 Гбит/с. Маршрутизатор в виртуальном концентраторе поддерживает до 50 Гбит/с для потоков трафика между виртуальными сетями и предусматривает общую рабочую нагрузку 2000 ВМ по всем виртуальным сетям, подключенным к одному виртуальному концентратору.
Чтобы обеспечить резервную мощность, не дожидаясь горизонтального увеличения масштаба виртуального концентратора, если требуется дополнительная пропускная способность, можно задать минимальную емкость или изменить по мере необходимости. См. Про виртуальный концентратор — емкость концентратора. Чтобы оценить затраты, просмотрите цены на единицы инфраструктуры маршрутизации на странице Цены на Виртуальную глобальную сеть Azure.
Когда VPN-сайты подключаются к концентратору, они используют подключения. Виртуальная глобальная сеть поддерживает до 1000 подключений или 2000 IPsec-туннелей на виртуальный концентратор. Когда удаленные пользователи подключаются к виртуальному центру, они подключаются к VPN-шлюзу P2S, который поддерживает до 100 000 пользователей в зависимости от единицы масштабирования (пропускной способности), выбранной для VPN-шлюза P2S в виртуальном центре.
Можно ли использовать NAT-T для моих VPN-подключений?
Да, обход NAT (NAT-T) поддерживается. VPN-шлюз Виртуальной глобальной сети НЕ будет выполнять никаких функций, связанных с NAT, для внутренних пакетов, поступающих в туннели IPsec и из них. В этой конфигурации убедитесь, что локальное устройство инициирует использование туннеля IPsec.
Как настроить единицу масштабирования для определенного параметра, например 20 Гбит/с?
Перейдите к VPN-шлюзу внутри концентратора на портале, а затем щелкните единицу масштабирования, чтобы изменить ее на соответствующий параметр.
Позволяет ли Виртуальная глобальная сеть локальному устройству использовать несколько поставщиков услуг Интернета параллельно или допускается только один туннель VPN?
В локальных решениях для устройств могут применяться политики трафика для передачи трафика между несколькими туннелями в концентратор Виртуальной глобальной сети Azure (VPN-шлюз в виртуальном концентраторе).
Что такое глобальная транзитная архитектура?
Дополнительные сведения см. в статье Архитектура глобальной транзитной сети и Виртуальная глобальная сеть.
Как направляется трафик в магистральную сеть Azure?
Трафик передается по следующему маршруту: устройство ветви -> поставщик услуг Интернета -> пограничное устройство Майкрософт -> контроллер домена Майкрософт (виртуальная сеть концентратора) -> пограничное устройство Майкрософт -> поставщик услуг Интернета -> устройство ветви.
Что необходимо каждому веб-сайту в этой модели? Только подключение к Интернету?
Да. Требуются подключение к Интернету и физическое устройство с поддержкой IPsec, предпочтительно полученное от наших интегрированных партнеров Виртуальной глобальной сети. При желании вы можете вручную управлять конфигурацией и подключением своего устройства к Azure.
Как включить маршрут по умолчанию (0.0.0.0/0) для подключения (VPN, ExpressRoute или виртуальная сеть)?
Виртуальный концентратор может распространять полученный маршрут по умолчанию в виртуальную сеть, VPN-подключение типа "сеть — сеть" или подключение ExpressRoute, если для соответствующего подключения установлен флаг "Включено". Этот флаг отображается, когда пользователь редактирует подключение к виртуальной сети, VPN-подключение или подключение ExpressRoute. По умолчанию этот флаг отключается, когда сайт или канал ExpressRoute подключается к концентратору. Он включается по умолчанию, когда добавляется виртуальное сетевое подключение между виртуальной сетью и виртуальным концентратором.
Маршрут по умолчанию не создается в концентраторе Виртуальной глобальной сети. Он распространяется, только если он уже был получен концентратором Виртуальной глобальной сети в результате развертывания брандмауэра в концентраторе или если для другого подключенного сайта включено принудительное туннелирование. Маршрут по умолчанию не распространяется между концентраторами.
Можно ли создать несколько виртуальных центров Виртуальной глобальной сети в одном регионе?
Да. Теперь клиенты могут создавать более одного центра в одном регионе для одной Виртуальной глобальной сети Azure.
Как в Виртуальной глобальной сети виртуальный концентратор выбирает оптимальный путь для маршрута из нескольких концентраторов?
Дополнительные сведения см. на странице предпочтения маршрутизации виртуального концентратора.
Разрешает ли концентратор Виртуальной глобальной сети подключение между каналами ExpressRoute?
Транзит между каналами ER всегда осуществляется через Global Reach. Шлюзы виртуальных концентраторов развертываются в DC или регионах Azure. Когда два канала ExpressRoute подключаются через Global Reach, нет необходимости, чтобы трафик проходил весь путь от пограничных маршрутизаторов до контроллера домена виртуального концентратора.
Существует ли понятие веса в каналах ExpressRoute Виртуальной глобальной сети Azure или VPN-подключениях?
Когда несколько каналов ExpressRoute подключены к виртуальному концентратору, вес маршрутизации в подключении обеспечивает механизм для ExpressRoute в виртуальном концентраторе, который предпочитает один канал другому. Нет механизма установки веса для VPN-подключения. Azure всегда предпочитает подключение ExpressRoute вместо VPN-подключения в пределах одного концентратора.
Предпочитает ли Виртуальная глобальная сеть канал ExpressRoute вместо VPN-подключения для исходящего трафика Azure?
Да. Виртуальная глобальная сеть предпочитает канал ExpressRoute вместо VPN-подключения для исходящего трафика Azure. Однако вы можете настроить параметры маршрутизации виртуального концентратора, чтобы изменить параметры по умолчанию. Инструкции см. в разделе "Настройка предпочтения маршрутизации виртуального концентратора".
Если концентратор Виртуальной глобальной сети имеет канал ExpressRoute и к нему подключен сайт VPN, что может привести к тому, что маршрут VPN-подключения будет предпочтительнее, чем ExpressRoute?
При подключении канала ExpressRoute к виртуальному концентратору маршрутизаторы Microsoft Edge являются первым узлом для обмена данными между локальной средой и Azure. Эти пограничные маршрутизаторы обмениваются данными со шлюзами ExpressRoute Виртуальной глобальной сети, которые, в свою очередь, узнают маршруты от маршрутизатора виртуального концентратора, который контролирует все маршруты между любыми шлюзами в Виртуальной глобальной сети. Пограничные маршрутизаторы Майкрософт обрабатывают маршруты ExpressRoute виртуального концентратора с более высоким приоритетом по сравнению с маршрутами, полученными из локальной системы.
Если для изучения маршрутов (например, сценарии отработки отказа между ExpressRoute и VPN) по любой причине VPN-подключение становится основной средой передачи для виртуального концентратора, виртуальный концентратор продолжит обмениваться изученными VPN-маршрутами со шлюзом ExpressRoute, если только сайт VPN не имеет большей длины пути AS. Это приведет к тому, что для пограничных маршрутизаторов Майкрософт предпочтительными будут VPN-маршруты, а не локальные маршруты.
Когда подключены два концентратора (концентратор 1 и 2) и имеется канал ExpressRoute, подключенный в виде бабочки к обоим концентраторам, какой путь для виртуальной сети, подключенной к концентратору 1, используется для связи с виртуальной сетью, подключенной в концентраторе 2?
В настоящее время предпочтение отдается пути канала ExpressRoute, а не пути между концентраторами для подключения между виртуальными сетями. Но это не рекомендуется при настройке Виртуальной глобальной сети. Чтобы устранить проблему, необходимо выполнить одно из двух приведенных ниже действий:
Для потоков трафика между регионами настройте систему так, чтобы несколько каналов ExpressRoute (разных поставщиков) подключались к одному концентратору, и используйте подключение между концентраторами, предоставляемое службой "Виртуальная глобальная сеть".
Настройте AS-путь в качестве параметра маршрутизации концентратора для виртуального концентратора. Это обеспечивает трафик между двумя концентраторами через маршрутизатор виртуального концентратора в каждом концентраторе и использует путь "концентратор — концентратор" вместо пути ExpressRoute (который проходит через маршрутизаторы Microsoft Edge). Дополнительные сведения см. в разделе о предпочтении маршрутизации виртуального концентратора.
Когда есть канал ExpressRoute, подключенный как привязка к концентратору Виртуальная глобальная сеть и автономной виртуальной сети, что такое путь к автономной виртуальной сети для достижения Виртуальная глобальная сеть концентратора?
Для новых развертываний это подключение блокируется по умолчанию. Чтобы разрешить это подключение, можно включить эти переключатели шлюза ExpressRoute в колонке "Изменить виртуальный концентратор" и "Шлюз виртуальной сети" на портале. Однако рекомендуется сохранить эти переключатели отключенными и вместо этого создать подключение виртуальная сеть для прямого подключения автономных виртуальных сетей к концентратору Виртуальная глобальная сеть. После этого трафик виртуальной сети к виртуальной сети будет проходить через маршрутизатор центра Виртуальная глобальная сеть, который обеспечивает лучшую производительность, чем путь ExpressRoute. Путь ExpressRoute включает шлюз ExpressRoute, который имеет более низкие ограничения пропускной способности, чем маршрутизатор концентратора, а также маршрутизаторы Microsoft Enterprise Edge/MSEE, который является дополнительным прыжком в пути данных.
На приведенной ниже схеме необходимо включить переключатели, чтобы разрешить подключение между автономной виртуальной сетью 4 и виртуальными сетями, напрямую подключенными к концентратору 2 (виртуальная сеть 2 и виртуальная сеть 3). Разрешить трафик из удаленных Виртуальная глобальная сеть сетей для шлюза виртуальной сети и разрешить трафик из не Виртуальная глобальная сеть сетей для шлюза ExpressRoute виртуального концентратора. Если сервер маршрутизации Azure развернут в автономной виртуальной сети 4, а сервер маршрутизации имеет ветвь ветвь , подключение будет заблокировано между виртуальной сетью 1 и автономной виртуальной сетью 4.
Включение или отключение переключателя влияет только на следующий поток трафика: трафик между концентратором Виртуальная глобальная сеть и автономной виртуальной сетью через канал ExpressRoute. Включение или отключение переключателя не приведет к простою для всех других потоков трафика (например, локальный сайт для периферийной виртуальной сети 2 не будет влиять, виртуальная сеть 2 — виртуальная сеть 2 на виртуальную сеть 3 не будет влиять и т. д.).
Можно ли создавать центры в разных группах ресурсов в Виртуальная глобальная сеть?
Да. Сейчас это можно сделать только с помощью PowerShell. На портале Виртуальной глобальной сети концентраторы можно разместить только в той группе ресурсов, где находится ресурс Виртуальной глобальной сети.
Какой диапазон адресов концентратора рекомендуется при его создании?
Рекомендуемый диапазон адресов для концентратора Виртуальной глобальной сети — /23. Концентратор Виртуальной глобальной сети назначает подсети различным шлюзам (ExpressRoute, VPN типа "сеть — сеть", VPN типа "точка — сеть", Брандмауэр Azure, маршрутизатор виртуального концентратора). В сценариях, где виртуальные сетевые модули развертываются в виртуальном концентраторе, для всех экземпляров виртуальных сетевых модулей обычно резервируется диапазон /28. Однако если пользователь должен был подготовить несколько NVA, может быть назначена подсеть /27. Хотя концентраторы Виртуальной глобальной сети развертываются с минимальным размером подсети /24, с учетом будущих требований архитектуры пользователю рекомендуется указать диапазон адресов /23 при создании концентратора.
Поддерживается ли IPv6 в Virtual WAN?
IPv6 не поддерживается в концентраторе Виртуальной глобальной сети и его шлюзах. Если у вас есть виртуальная сеть с поддержкой IPv4 и IPv6 и вы хотите подключить виртуальную сеть к Виртуальной глобальной сети, этот сценарий в настоящее время не поддерживается.
Для сценариев с применением VPN-подключения пользователя типа"точка — сеть" с прерыванием Интернет-подключений через Брандмауэр Azure, вам, скорее всего, потребуется отключить подключение по протоколу IPv6 на клиентском устройстве, чтобы трафик принудительно передавался в концентратор Виртуальный глобальной сети. Это связано с тем, что современные устройства по умолчанию используют IPv6-адреса.
Какая рекомендуемая версия API будет использоваться в скриптах, автоматизирующих различные функции Виртуальной глобальной сети?
Требуется минимальная версия 05-01-2022 (1 мая 2022 г.).
Существуют ли ограничения для Виртуальной глобальной сети?
См. раздел Ограничения Виртуальной глобальной сети на странице "Ограничения подписок и служб".
Чем отличаются ценовые категории Виртуальных глобальных сетей ("Базовый" и "Стандартный")?
Ознакомьтесь с разделом Виртуальные глобальные сети уровня "Базовый" и "Стандартный". Актуальные сведения см. на странице с ценами.
Хранятся ли данные клиента в виртуальной глобальной сети?
№ В Виртуальной глобальной сети не хранятся данные клиента.
Существуют ли поставщики управляемых служб, которые могут (в качестве услуги) управлять виртуальной глобальной сетью для пользователей?
Да. Список решений от поставщиков управляемых служб (MSP), поддерживаемых в Azure Marketplace, см. в разделе Предложения в Azure Marketplace от партнеров программы для поставщиков сетевых устройств и служб Azure (MSP).
Чем маршрутизация концентратора Виртуальной глобальной сети отличается от Azure Route Server в виртуальной сети?
Центр Виртуальной глобальной сети Azure и Azure Route Server предоставляют возможности пиринга по протоколу BGP, которые могут использоваться NVA (виртуальный сетевой модуль) для объявления IP-адресов из NVA в виртуальных сетях Azure пользователя. Параметры развертывания различаются в том аспекте, что Azure Route Server обычно разворачивается с помощью виртуальной сети концентратора клиента с самостоятельным управлением, в то время как Виртуальная глобальная сеть Azure предоставляет полносвязную службу концентратора с автоматическим развертыванием, к которой клиенты подключаются через различные периферийные конечные точки (виртуальная сеть Azure, локальные ветви с VPN-подключением типа "сеть — сеть" или SDWAN, удаленные пользователи с VPN-подключением типа "точка — сеть" или удаленное VPN-подключение пользователя, а также частные подключения с ExpressRoute) и получают доступ к пирингу BGP для виртуальных сетевых модулей, развернутых в распределенной виртуальной сети вместе с другими возможностями виртуальной глобальной сети, такими как транзитное подключение между виртуальными сетями, транзитное подключение между VPN и ExpressRoute, настраиваемая и расширенная маршрутизация, настраиваемое связывание и распространение маршрутов, намерение и политики маршрутизации для беспроблемной защиты между регионами, защищенный концентратор и Брандмауэра Azure и т. д. Дополнительные сведения о пиринге BGP Виртуальной глобальной сети см. в статье Пиринг BGP с помощью виртуального концентратора.
Если для защиты интернет-трафика используется сторонний поставщик безопасности (Zscaler, iBoss или Checkpoint), почему на портале Azure не отображается сайт VPN, связанный с этим поставщиком?
Если для защиты доступа пользователей к Интернету вы решили развернуть решение от поставщика безопасности, который является партнером корпорации Майкрософт, этот сторонний поставщик безопасности от вашего имени создает сайт VPN. Так как сторонний поставщик безопасности создается автоматически поставщиком и не является сайтом VPN, созданным пользователем, этот сайт VPN не будет отображаться на портале Microsoft Azure.
Подробнее о доступных решениях сторонних поставщиков безопасности и их настройке см. в статье Развертывание поставщика безопасности из числа партнеров корпорации Майкрософт.
Будут ли сообщества BGP, созданные локальной средой, сохраняться в Виртуальной глобальной сети?
Да, сообщества BGP, созданные локальной средой, будут сохраняться в Виртуальной глобальной сети. Вы можете использовать собственные общедоступные или частные ASN для локальных сетей. Диапазоны, зарезервированные Azure или IANA, использовать нельзя:
- ASN, зарезервированные Azure:
- Общедоступные ASN: 8074, 8075, 12076.
- Частные ASN: 65515, 65517, 65518, 65519, 65520.
- Номера ASN, зарезервированные для IANA: 23456, 64496-64511, 65535-65551
Можно ли изменить ASN для VPN-шлюза?
№ Виртуальная глобальная сеть не поддерживает изменения ASN для VPN-шлюзов.
Какова предполагаемая производительность SKU шлюза ExpressRoute в Виртуальной глобальной сети?
| Единица масштабирования | Подключений в секунду | Мбит в секунду | Пакетов в секунду |
|---|---|---|---|
| 1 единица масштабирования |
14 000 | 2 000 | 200 000 |
| 2 единицы масштабирования |
28 000 | 4000 | 400 000 |
| 3 единицы масштабирования |
42 000 | 6000 | 600,000 |
| 4 единицы масштабирования |
56 000 | 8000 | 800 000 |
| 5 единиц масштабирования |
70 000 | 10 000 | 1 000 000 |
| 6 единиц масштабирования |
84 000 | 12 000 | 1 200 000 |
| 7 единиц масштабирования |
98 000 | 14 000 | 1 400 000 |
| 8 единиц масштабирования |
112 000 | 16 000 | 1 600 000 |
| 9 единиц масштабирования |
126 000 | 18 000 | 1 800 000 |
| 10 единиц масштабирования |
140,000 | 20,000 | 2 000 000 |
* Единицы масштабирования 2–10 во время операций обслуживания поддерживают агрегированную пропускную способность. Но для единицы масштабирования 1 во время операции обслуживания пропускная способность может немного измениться.
Если подключить локальный канал ExpressRoute к центру Виртуальная глобальная сеть, я сможет получить доступ только к регионам в том же расположении метро, что и локальный канал?
Локальные каналы могут быть подключены только к шлюзам ExpressRoute в соответствующем регионе Azure. Однако нет ограничений для маршрутизации трафика в периферийные виртуальные сети в других регионах.
Почему я вижу сообщение и кнопку "Обновить маршрутизатор до последней версии ПО" на портале?
Примечание.
По состоянию на январь 2024 года команда Виртуальная глобальная сеть начала обновление виртуальных центров до последней версии. Если вы не обновили центр, но теперь обратите внимание, что версия маршрутизатора центра говорит "последняя", то центр был обновлен командой Виртуальная глобальная сеть.
Инфраструктура на основе Облачных служб на уровне Azure устарела. В результате команда Виртуальная глобальная сеть работала над обновлением виртуальных маршрутизаторов с текущей инфраструктуры Облачные службы до Масштабируемые наборы виртуальных машин развертываний. Все только что созданные виртуальные центры будут автоматически развернуты в последней Масштабируемые наборы виртуальных машин инфраструктуре. Если после перехода к ресурсу концентратора Виртуальной глобальной сети вы видите это сообщение и кнопку, вы можете обновить маршрутизатор до последней версии, нажав кнопку. Если вы хотите воспользоваться преимуществами новых функций Виртуальная глобальная сеть, таких как пиринг BGP с концентратором, необходимо обновить маршрутизатор виртуального концентратора через портал Azure. Если кнопка не отображается, откройте вариант поддержки.
Вы сможете обновить маршрутизатор виртуального концентратора только в том случае, если все ресурсы (шлюзы, таблицы маршрутов и подключения к виртуальной сети) в концентраторе имеют состояние "Успешно". Убедитесь, что все периферийные виртуальные сети находятся в активных или включенных подписках, и что ваши периферийные виртуальные сети не удаляются. Кроме того, так как для этой операции требуется развертывание новых маршрутизаторов виртуальных концентраторов масштабируемых наборов виртуальных машин, необходимо столкнуться с ожидаемым временем простоя в течение 1–2 минут для трафика между виртуальными сетями через тот же концентратор и 5–7 минут для всех остальных потоков трафика через концентратор. В пределах отдельного ресурса Виртуальной глобальной сети центры необходимо обновлять по одному, а не сразу несколько одновременно. Если для версии маршрутизатора указано "Последняя", значит обновление центра завершено. После этого обновления поведение маршрутизации не изменяется.
При обновлении маршрутизатора виртуального концентратора существует несколько действий.
Если вы уже настроили пиринг BGP между центром Виртуальная глобальная сеть и NVA в периферийной виртуальной сети, необходимо удалить и повторно создать одноранговый узел BGP. Так как IP-адреса маршрутизатора виртуального концентратора изменяются после обновления, вам также придется перенастроить NVA на пиринг с новыми IP-адресами маршрутизатора виртуального концентратора. Эти IP-адреса представлены в виде поля "virtualRouterIps" в файле JSON ресурса виртуального концентратора.
Если у вас есть виртуальная сеть (модуль) (NVA) в виртуальном концентраторе, вам придется работать с партнером NVA, чтобы получить инструкции по обновлению центра Виртуальная глобальная сеть.
Если виртуальный концентратор настроен с более чем 15 единицами инфраструктуры маршрутизации, выполните масштабирование в виртуальном концентраторе до 2 единиц инфраструктуры маршрутизации перед попыткой обновления. Вы можете уменьшить масштаб концентратора до более чем 15 единиц инфраструктуры маршрутизации после обновления концентратора.
Если обновление завершается ошибкой по какой-либо причине, центр будет автоматически восстановлен до старой версии, чтобы убедиться, что все еще работает настройка.
Дополнительные сведения, которые следует отметить:
Пользователю потребуется роль владельца или участника, чтобы увидеть точное состояние версии маршрутизатора концентратора. Если пользователю назначена роль читателя для ресурса и подписки Виртуальная глобальная сеть, портал Azure отображается пользователю, что маршрутизатор концентратора должен быть обновлен до последней версии, даже если концентратор уже находится в последней версии.
Если вы измените состояние подписки на периферийную виртуальную сеть с отключенной, а затем обновите виртуальный концентратор, необходимо обновить подключение виртуальной сети после обновления виртуального концентратора (например, можно настроить подключение виртуальной сети для распространения на фиктивную метку).
Если концентратор подключен к большому количеству периферийных виртуальных сетей (60 или более), вы можете заметить, что 1 или более периферийных пирингов виртуальных сетей введут состояние сбоя после обновления. Чтобы восстановить эти пиринги виртуальной сети в успешном состоянии после обновления, можно настроить подключения виртуальной сети для распространения на фиктивную метку или удалить и повторно создать эти соответствующие подключения виртуальной сети.
Существует ли ограничение на число маршрутов для клиентов OpenVPN, которые подключаются к VPN-шлюзу P2S в Azure?
Ограничение на число маршрутов для клиентов OpenVPN — 1000.
Как вычисляется Соглашение об уровне обслуживания (SLA) для Виртуальной глобальной сети?
Виртуальная глобальная сеть — это платформа на основе модели "сеть как услуга", имеющая SLA на уровне 99,95 %. Но Виртуальная глобальная сеть сочетает множество различных компонентов, таких как Брандмауэр Azure, VPN типа "сеть — сеть", ExpressRoute, VPN типа "точка — сеть" и Центр Виртуальной глобальной сети или интегрированные сетевые виртуальные модули.
SLA для каждого компонента вычисляется отдельно. Например, если для ExpressRoute допустим простой длительностью в 10 минут, доступность ExpressRoute вычисляется как (максимальное доступное время в минутах - время простоя) / максимальное время доступности в минутах * 100.
Можно ли изменить адресное пространство виртуальной сети в периферийной виртуальной сети, подключенной к концентратору?
Да, это можно сделать автоматически без обновления или сброса необходимых для пирингового подключения. Дополнительные сведения об изменении адресного пространства виртуальной сети см. здесь.
Виртуальная глобальная сеть обслуживание управляемого клиентом шлюза
Какие службы включены в конфигурацию обслуживания область сетевых шлюзов?
Для Виртуальная глобальная сеть можно настроить периоды обслуживания для VPN-шлюзов типа "сеть — сеть" и шлюзов ExpressRoute.
Какое обслуживание поддерживается или не поддерживается управляемым клиентом обслуживанием?
Службы Azure проходят периодические обновления обслуживания для улучшения функциональности, надежности, производительности и безопасности. После настройки периода обслуживания для ресурсов в этом окне выполняется обслуживание гостевой ОС и службы. Эти обновления относятся к большинству элементов обслуживания, вызывающих озабоченность для клиентов.
Базовые обновления оборудования узла и инфраструктуры центра обработки данных не охватываются обслуживанием, контролируемым клиентом. Кроме того, если возникает проблема с безопасностью с высоким уровнем серьезности, которая может угрожать нашим клиентам, Azure может потребоваться переопределить управление клиентом в период обслуживания и развернуть изменение. Это редкие случаи, которые будут использоваться только в крайних случаях.
Можно ли получить расширенное уведомление об обслуживании?
В настоящее время расширенное уведомление не может быть включено для обслуживания ресурсов сетевого шлюза.
Можно ли настроить период обслуживания менее пяти часов?
В настоящее время необходимо настроить как минимум пять часового периода в предпочтительном часовом поясе.
Можно ли настроить расписание обслуживания, которое не повторяется ежедневно?
В настоящее время необходимо настроить период ежедневного обслуживания.
Должны ли ресурсы конфигурации обслуживания находиться в том же регионе, что и ресурс шлюза?
Да.
Необходимо ли развернуть минимальную единицу масштабирования шлюза, чтобы иметь право на обслуживание, управляемое клиентом?
№
Сколько времени требуется для того, чтобы политика конфигурации обслуживания стала эффективной после того, как она будет назначена ресурсу шлюза?
Для выполнения расписания обслуживания шлюзов сети может потребоваться до 24 часов после того, как политика обслуживания связана с ресурсом шлюза.
Как запланировать периоды обслуживания при использовании VPN и ExpressRoute в сценарии сосуществования?
При работе с VPN и ExpressRoute в сценарии сосуществования или при наличии ресурсов, действующих в качестве резервных копий, рекомендуется настроить отдельные периоды обслуживания. Этот подход гарантирует, что обслуживание не влияет на ресурсы резервного копирования одновременно.
Я запланировал период обслуживания для следующей даты для одного из моих ресурсов. Будут ли действия по обслуживанию приостановлены на этом ресурсе до тех пор?
Нет, действия по обслуживанию не будут приостановлены на ресурсе в течение периода до запланированного периода обслуживания. В течение дней, не охваченных расписанием обслуживания, обслуживание продолжается как обычно на ресурсе.
Следующие шаги
Подробнее о службе "Виртуальная глобальная сеть" см. в статье Сведения о Виртуальной глобальной сети Azure.